网络安全缩略语汇编手册-C(CP-CrTRICS)（非常详细）零基础入门到精通，收藏这一篇就够了

本文链接：https://blog.csdn.net/leah126/article/details/140259017

CP	Contingency Planning	应急计划
CSF控制系统应急计划是实现组织任务和业务职能运作连续性的总体计划的一部分。应急计划解决了当系统受到破坏或破坏时系统恢复和替代任务或业务流程的实施。应急计划在整个系统开发生命周期中都有考虑，是系统设计的基本部分。系统可以设计为冗余、提供备份功能和恢复能力。应急计划反映了组织系统所需的恢复程度，因为并非所有系统都需要完全恢复以达到所需的业务连续性水平。系统恢复目标反映了适用的法律、行政命令、指令、法规、政策、标准、指南、组织风险容忍度和系统影响水平。应急计划中涉及的行动包括有序的系统降级、系统关闭、回退到手动模式、备用信息流以及在系统受到攻击时保留的模式下运行。通过将应急计划与事件处理活动相协调，各组织确保在发生事件时制定并启动必要的计划活动。组织考虑事故期间的操作连续性是否与IR-4（5）中规定的自动禁用系统的能力相冲突。事件响应计划是组织应急计划的一部分，在IR（事件响应）系列中进行了处理。 https://csf.tools/reference/nist-sp-800-53/r5/cp/cp-2/
CPA	Chosen Plaintext Attack	选择明文攻击
选择明文攻击（CPA）是一种用于密码分析的攻击模型，它假定攻击者有能力选择要加密的任意明文并获得相应的密文。攻击的目的是获取一些进一步的信息，从而降低加密方案的安全性。在最坏的情况下，选择的明文攻击可能会泄露该方案的密钥。对于某些选定的明文攻击，攻击者只需选择一小部分明文：这种攻击称为明文注入攻击。攻击者不太可能说服人类密码学家对攻击者选择的大量明文进行加密。另一方面，现代密码学是在软件或硬件中实现的，用于各种各样的应用；在许多情况下，选择的明文攻击通常是非常可行的。选择的明文攻击在公钥加密中变得极其重要，因为加密密钥是公共的，攻击者可以对他们选择的任何明文进行加密。然后，可以防止选定明文攻击的任何密码都可以保证对已知明文和纯密文攻击是安全的；这是一种保守的安全方法。可以区分两种形式的选定明文攻击：批量选择明文攻击，即密码分析员在加密任何明文之前选择所有明文。这通常是无条件使用“选择明文攻击”的意思。自适应选择明文攻击，其中密码分析员进行一系列交互式查询，根据先前加密的信息选择后续明文。非随机（确定性）公钥加密算法容易受到简单的“字典”型攻击，攻击者会建立一个可能的消息及其对应密文的表。为了找到一些观察到的密文的解密，攻击者只需在表中查找密文。因此，在选定的明文攻击下，安全性的公钥定义需要概率加密（即随机加密）。使用相同密钥对文本进行加密和解密的传统对称密码也可能容易受到其他形式的选定明文攻击，例如，分组密码的差分密码分析。第二次世界大战期间，盟军破解密码的人使用了一种叫做“园艺”的技术，他们破解了在Enigma上加密的信息。园艺可以被视为明文注入攻击。
CPACF	CP Assist for Cryptographic Functions	密码功能的CP辅助
CP Assist for Cryptographic Function（CPACF）为核心上运行的加密算法提供硬件指令。如果Docker主机可以访问CPACF，那么它的Docker容器也可以访问。无需特殊配置。 CPACF是一组提供改进性能的密码指令。服务器支持不同的算法：关于IBM System z9 Enterprise Class和IBM System z9Business Class SHA-1算法可用 SHA-224和SHA-256算法可用使用128位长度密钥的AES算法可用在IBM System z10 Enterprise Class、z10 Business Class、IBM zEnterprise 196、IBM z Enterprise 114及更高版本上 SHA-1算法可用提供SHA-224、SHA-256、SHA-384和SHA-512算法可用使用128位、192位和256位密钥的AES算法 https://www.ibm.com/docs/en/zos/2.3.0?topic=icsf-cp-assist-cryptographic-functions-cpacf
CPE	Common Platform Enumeration	公共平台枚举
通用平台枚举（CPE）是信息技术系统、软件和包的结构化命名方案。基于统一资源标识符（URI）的通用语法，CPE包括正式名称格式、用于对照系统检查名称的方法以及用于将文本和测试绑定到名称的描述格式。挑战安全的信息系统依赖于支持安全评估的可靠、经济高效的软件资产管理实践。IT经理需要高度可靠和自动化的软件库存流程，以提供有关已安装和可使用的操作系统、软件应用程序和硬件设备的准确、最新的详细信息。一旦掌握了这些数据，IT经理就可以识别风险和漏洞，并及时决定安装、修补或禁用什么。存在规范语言，如用于描述漏洞的通用漏洞和暴露（CVE®）、用于测试系统状态的开放漏洞和评估语言（OVAL®）以及用于表示安全检查表的可扩展配置检查表描述格式（XCCDF）。这些语言的共同点是需要以适合机器解释和处理的标准化方式引用IT产品和平台。解决方案通用平台枚举（CPE™) 是为了满足这一需求而开发的。CPE提供：用于编码IT产品和平台名称的标准机器可读格式。一组比较名称的过程。一种用于构造将CPE名称与简单逻辑运算符组合的“适用性语句”的语言。 CPE字典的标准概念。企业中的CPE 国家标准与技术研究所（NIST）目前正在维护一部权威的CPE词典，作为其美国国家漏洞数据库（NVD）的一部分。NIST还拥有CPE规范文件的最新官方版本。此外，CPE是NIST在其安全内容自动化协议（SCAP）计划中使用的现有开放标准之一，该计划结合了“一套工具来帮助自动化漏洞管理并评估是否符合联邦信息技术安全要求”。NIST已验证了许多产品符合SCAP的CPE组件。 https://cpe.mitre.org/about/
CPNI	Centre for the Protection of National Infrastructure	国家基础设施保护中心
英国政府的国家人身和人员保护安全技术局。一些政府政策影响了国家警察局的工作。这包括《国家安全战略》、《国家风险登记册》和《反恐战略》。国家安全战略英国政府的国家安全战略规定了确保英国安全和复原力的战略目标。国家风险登记册政府通过国家风险评估（NRA）对英国及其公民未来五年可能面临的最重大紧急情况进行监控。这是一项每年进行一次的机密评估，利用来自政府各部门和机构的专业知识。国家风险登记册（NRR）是公共版本。反恐战略 CONTEST是英国政府的反恐战略，旨在降低国际恐怖主义的风险，使人们能够开展日常业务。制定和实施CONTEST涉及众多利益相关者，包括政府部门、应急服务、志愿组织、商业部门和海外合作伙伴。该战略分为四个主要部分：预防、追求、保护和准备。CPNI的工作属于Protect部门，该部门专注于降低英国和英国海外利益在恐怖袭击中的脆弱性。保护CNI IT网络、数据和系统免受网络攻击的网络安全建议现在由国家网络安全中心（NCSC）负责。CPNI和NCSC携手合作，确保提供保护性安全的整体方法。 https://www.cpni.gov.uk/who-we-are
CPO	Chief Privacy Officer	首席隐私官
首席隐私官（CPO）是一名公司高管，负责制定和实施旨在保护员工和客户数据免受未经授权访问的政策。隐私政策解释了组织如何处理其运营过程中收集的任何客户、客户或员工信息。公司隐私政策还应解释旨在确保满足隐私要求的实践和程序。 CPO工作的其他要素包括保持对公司运营和隐私法律的全面和最新知识，以及向员工和客户传达公司隐私政策的详细信息。CPO通常是组织负责媒体和其他与隐私相关的外部查询的负责人。为了有效应对工作挑战，CPO必须与其他C级高管合作，特别是那些关注领域重叠的高管，如首席信息官（CIO）、首席安全官（CSO）、首席数据官（CDO）和首席合规官（CCO）。
CPRI	Common Public Radio Interface	公共无线电接口
CPRI（Common Public Radio Interface）：通用公共无线接口（CPRI）联盟是一个工业合作组织，致力于从事无线基站内部无线设备控制中心（简称REC）及无线设备（简称RE）之间主要接口规范的制定工作。发起成立CPRI 组织的公司包括：爱立信、华为、NEC、北电网络及西门子公司，CPRI对其它组织和厂家开放。 CPRI：采用数字的方式来传输基带信号,其数字接口有两种，标准的CPRI和OBSAI接口。CPRI(The Common Public Radio Interface)定义了基站数据处理控制单元REC(Radio Equipment Control)与基站收发单元RE(Radio Equipment)之间的接口关系，它的数据结构可以直接用于直放站的数据进行远端传输,成为基站的一种拉远系统。
CPS	Cyber-Physical System	网络物理系统
cps全称是信息物理系统(cyber physical systems)，是一个综合计算、网络和物理环境的多维复杂系统。信息物理系统通过人机交互接口实现和物理进程的交互，使用网络化空间以远程的、可靠的、实时的、安全的、协作的方式操控一个物理实体。信息物理系统包含了将来无处不在的环境感知、嵌入式计算、网络通信和网络控制等系统工程，使物理系统具有计算、通信、精确控制、远程协作和自治功能。它注重计算资源与物理资源的紧密结合与协调，主要用于一些智能系统上如机器人，智能导航等。 CPS是在环境感知的基础上，深度融合计算、通信和控制能力的可控可信可扩展的网络化物理设备系统，它通过计算进程和物理进程相互影响的反馈循环实现深度融合和实时交互来增加或扩展新的功能，以安全、可靠、高效和实时的方式检测或者控制一个物理实体。 CPS的意义在于将物理设备联网，是连接到互联网上，让物理设备具有计算、通信、精确控制、远程协调和自治等五大功能。CPS本质上是一个具有控制属性的网络，但它又有别于现有的控制系统。CPS则把通信放在与计算和控制同等地位上，因为CPS强调的分布式应用系统中物理设备之间的协调是离不开通信的。CPS对网络内部设备的远程协调能力、自治能力、控制对象的种类和数量，特别是网络规模上远远超过现有的工控网络。美国国家科学基金会(NSF)认为，CPS将让整个世界互联起来。如同互联网改变了人与人的互动一样，CPS将会改变我们与物理世界的互动
CPSO	Chief Product Security Officer	首席产品安全官
在过去的十年中，领先公司内部不断增加的安全漏洞不断增强了对首席信息安全官（CISO）的需求，以保护IT系统、品牌声誉、收入甚至股价等关键因素。因此，许多董事会和其他投资人士目前要求在管理网络准备、威胁预防和执行报告方面加强问责制和重点，CISO必须提供所有这些。由于我们的应用程序的安全性现在是一项业务要务，CISO通常会向大多数组织的首席执行官或同等人员报告，这有助于确保这些问题得到他们需要的关注。但目前有一个新的执行管理职位正在发挥作用，它服务于一个独立但相关的目的，它正在改变组织看待其产品的方式。 CISO与CPSO 这个被称为首席产品安全官（CPSO）的新角色是在产品安全成为许多组织的中心舞台之际出现的。当公司第一次决定需要一位专门关注安全的高管时，他们就设立了CISO的角色。今天，随着数字化转型不断暴露出应用程序或其他“产品”可能受到威胁或损害的方式，他们需要一个专门的CPSO是有意义的。公司依靠CISO确保其内部系统和网络保持安全，但他们也需要找到方法来保证他们生产的产品是安全的。 CPSO专注于产品的工作非常重要，因为它加强了当今安全和产品工程之间的桥梁。鉴于产品安全从未如此重要，CPSO监督公司产品的安全，例如软件、固件或其他带有代码的产品。通过实施和监督产品安全计划，CPSO可以解决产品生命周期所有阶段的安全问题。这意味着鼓励和支持安全和产品创新。那么，说到底，是什么使消费品安全委员会与消费品安全组织不同？在高层，他们的职责看似相似，但职能却千差万别。当CISO管理整个企业环境的安全时，CPSO更具体地关注产品安全的独立（但关键）领域。这意味着消费品安全委员会监督公司内的数字产品，如软件、固件或代码相关产品，并设计一个安全程序，以在开发生命周期的所有阶段解决AppSec问题。
CPU	Central Processing Unit	中央处理单元
CPU是计算机的大脑。计算机的所有类型的数据处理操作和所有重要功能都由CPU执行。它帮助输入和输出设备相互通信并执行各自的操作。它还存储输入的数据、处理之间的中间结果和指令。现在，CPU由3个主要单元组成，分别是： l 内存或存储单元 l 控制单元 l 算术逻辑单元现在让我们看一下计算机的框图：在此图中，还显示了三个主要组件：内存或存储单元存储指令、数据和中间结果。存储单元负责在需要时将信息传输到计算机的其他单元。它也被称为内部存储单元或主存储器或主存储器或者随机存取存储器（RAM），因为所有这些都是存储设备。它的大小会影响速度、功率和性能。计算机中有两种类型的内存，即主内存和辅助内存。存储器单元的一些主要功能如下：数据和指令存储在处理所需的存储器单元中。它还存储任何计算或任务的中间结果。处理的最终结果被存储在存储单元中，然后这些结果被释放到用于向用户提供输出的输出设备。各种输入和输出通过存储单元传输。控制单元控制单元控制计算机所有部分的操作，但它不执行任何数据处理操作。为了执行已经存储的指令，它通过使用电信号指示计算机系统来指示计算机。它从存储单元中获取指令，然后解码指令，然后执行这些指令。因此，它控制着计算机的功能。它的主要任务是维护整个处理器的信息流。控制单元的一些主要功能如下：数据的控制以及数据和指令的传输由控制单元和计算机的其他部分完成。控制单元负责管理计算机的所有单元。控制单元的主要任务是获取从存储单元输入的指令或数据，对其进行解释，然后据此指导计算机的操作。控制单元负责与输入和输出设备进行通信，以便从存储器传输数据或结果。控制单元不负责处理数据或存储数据。算术逻辑单元 ALU（算术逻辑单元）负责执行算术和逻辑功能或操作。它包括两个子部分，分别是：算术部分、逻辑部分算术部分：算术运算是指加法、减法、乘法和除法等运算，所有这些运算和函数都由ALU执行。此外，所有复杂的操作都是通过ALU重复使用上述操作完成的。逻辑部分：逻辑运算是指选择、比较、匹配和合并数据等操作或功能，所有这些都由ALU执行。注意：CPU可能包含多个ALU，ALU可用于维护帮助运行计算机系统的计时器。
CRADA	Cooperative Research and Development Agreement	合作研究与开发协议
CRADA是一项协议，根据该协议，FDA实验室为特定的研究或开发工作提供人员、服务、设施、设备或其他资源，但不提供资金。CRADA合作伙伴为项目提供任何必要的资金以及人员、服务、设施、设备或其他资源。 CRADA为非联邦合作者提供了协商研究成果的任何CRADA主题发明的独家或非独家许可的选择。CRADA是唯一允许在合作研究项目期间开发知识产权的许可选择的协议。 1. CRADA仅适用于将对研究项目做出重大智力贡献的合作者，或将贡献FDA无法合理获得的重要研究材料或技术资源的合作者。CRADA不能试图指导或限制FDA实验室的研究。双方没有共同智力贡献的常规、常规测试或研究不适用于CRADA。 2. 在考虑拟议的CRADA时，FDA必须确定拟议合作的目标是否保证建立CRADA，或者通过采购合同、材料转让协议、合作协议或其他合同机制更适当地实现其目标。 3. CRADA的唯一目的不能是支持博士后研究员和/或技术人员、获得资金或购买设备和/或用品。相反，CRADA的唯一理由不能是FDA实验室为合作者进行研究或测试。 4. 美国食品和药物管理局的科学家可能存在利益冲突，因为他们在CRADA研究过程中担任合同项目官员或有权决定资助。FDA的科学家可能存在利益冲突，因为他们同时也是监管审查员，或者对与CRADA研究主题重叠的产品领域的监管决定拥有权力。任何实际或明显的利益冲突必须在CRADA的审查和批准中解决，以及任何其他利益冲突考虑因素。 5. 为了保护专有材料和知识产权，CRADA允许合理的保密要求和传播研究成果的短暂延迟。 6. 美国食品和药物管理局采取措施，确保外部组织公平获得合作机会、联邦技术许可和美国食品和药品管理局的科学专业知识，同时特别考虑小企业，优先考虑美国境内的企业，并同意在美国制造根据美国食品和饮料管理局开发的产品。公平获取CRADA与合同和小额采购定义的“公开竞争”一词的含义不同。
CRD	Custom Resource Definition	自定义资源定义
CRD (Custom Resource Definition) 是 kubernetes 强大扩展能力的一处体现，联系到编程场景，CRD 相当于是类 (class)，custom resource 相当于是对象或者实例，通过 CRD 可以创建自己定义的资源类型，api server 会直接支持，可以通过 kubectl 命令创建对应的资源并对资源进行删/查/改的操作，资源对象会被保存在 etcd 中，可以像操作 pod 那样操作自己创建的 resouce。
CRI	Container Runtime Interface	容器运行时接口
CRI是一个插件接口，它使kubelet能够使用多种容器运行时，而无需重新编译集群组件。需要在集群中的每个节点上运行一个工作容器运行时，以便kubelet可以启动Pod及其容器。容器运行时接口（CRI）是kubelet和容器运行时之间通信的主要协议。 Kubernetes容器运行时接口（CRI）定义了集群组件kubelet和容器运行时之间通信的主要gRPC协议。
CRISP	Cybersecurity Risk Information Sharing Program	网络安全风险信息共享计划
网络安全风险信息共享计划（CRISP）和相关的信息共享试点包括能源部（DOE）网络安全、能源安全办公室的领先信息共享和能源部门网络态势感知平台，CRISP是一个公私合作伙伴关系，向美国电力行业的参与者提供相关和可操作的网络安全信息。政府和私营企业之间的合作对于打击对美国关键电力基础设施的网络威胁至关重要。通过利用太平洋西北国家实验室（PNNL）提供的开放源代码网络威胁情报和政府知情报告，电力信息共享与分析中心（E-ISAC）为CRISP参与者提供与高级威胁行为体相关的信息、用于识别异常的定制自动化分析、，事件和事件趋势统计以及与关键电力基础设施运营商相关的其他信息。
CRL	Certificate Revocation List	撤销证书列表
CRL是公钥基础设施（PKI）的一个重要组成部分，PKI是一个用于识别和验证共享资源（如Wi-Fi网络）用户的系统。CRL由证书颁发机构（CA）填充，CA是PKI的另一部分。重要的是，只有颁发证书的CA有权撤销证书并将其放在CRL上。为什么需要证书吊销列表？如果没有CRL，PKI就无法知道证书在过期之前是否已被吊销。PKI已经有一个授权用户列表（及其分配的证书），但它也需要一个未授权用户列表。此外，CRL是必要的，因为证书吊销和证书过期之间存在差异。证书过期是指在预定证书生命周期结束时发生的时间。生成时，证书上的关键属性是证书的有效期，通常在1到5年之间。在该期限结束时，证书将自动过期并失效。证书吊销是一个（通常是手动）过程，其中证书在其生命周期结束之前被视为无效。这可能是由于多种原因（这将在本文后面讨论），但重要的是PKI知道从那时起立即停止认证证书。过期的证书不会进入CRL，因为过期的证书会被操作系统自动拒绝，或者如果它要通过，RADIUS服务器（或AAA服务器）也会拒绝它。在身份验证过程的第一步，即检查CRL之前，过期的证书将被拒绝，因此无需将其包含在其中。此外，在CRL上达到到期日期的证书将自动从列表中删除。不管他们被撤销的原因是什么，他们都不会再被认证了。此过程还用于减少CRL列表大小，如果CRL列表太大，则会降低身份验证时间。证书吊销列表检查发生在身份验证过程的特定点。这里简要概述了证书认证如何在具有EAP-TLS认证协议的典型WPA2企业网络中工作（这是您遇到PKI和CRL的典型环境）。 1) 用户通过接入点请求访问网络，并提交其数字证书以进行身份验证。 2) 接入点将证书发送到RADIUS服务器，后者检查证书是否过期。 3) 如果它仍然有效，RADIUS将检查已批准用户的目录（如Active directory）。 4) 如果用户被批准，RADIUS将检查CRL以确认其证书未被吊销。 5) 如果通过了以上所有步骤，则用户被认证并被允许访问网络。
CRO	Chief Risk Officer	首席风险官
CRO向董事会和首席执行官报告各种问题，包括保险、IT安全、财务审计、内部审计、全球业务变量、欺诈预防和其他内部公司事务。CRO必须实施运营风险管理和缓解流程，以防止因程序、系统或政策不足或失败而造成的损失。操作风险管理流程包括灾难恢复和业务连续性规划、制定信息安全策略和管理法规遵从性数据。四大风险类别 CRO通常关注以下四大风险类别：合规风险与组织识别和履行法律、规则和法规规定的责任的能力有关。与运营相关的风险，包括业务中断、劳动力问题、技术问题和供应商更替。声誉受损的风险，可能会损害组织的声誉、认可度、声誉以及对员工、股东、客户和公众的价值；和战略风险意味着任何可能影响组织执行战略能力的风险。首席风险官的角色和职责一般而言，首席风险官监督公司的风险管理工作，包括风险识别和缓解。CRO当前最大的担忧之一是网络安全。信息技术会带来风险，因为它对业务流程至关重要。CRO越来越多地参与评估和减轻黑客和数据泄露带来的风险。作为首席风险官工作的重要组成部分，信息保护战略和风险保证工作已经发展，识别公司数据漏洞和威胁的能力也在发展。其他CRO职责包括：通过制定风险地图和战略行动计划，减轻公司的主要威胁；跟踪风险缓解工作；编制并向公司高管、董事会成员和员工分发风险分析和进度报告；将战略风险管理优先事项纳入公司总体战略计划；规划和执行信息保障战略，以防范和管理与数据和信息的使用、存储和传输相关的风险；评估员工犯下的错误或系统故障可能会如何扰乱业务流程，然后制定策略以尽量减少这些风险的暴露；识别并量化公司应承担的风险量——这就是风险偏好；编制预算并监督风险管理和缓解项目；让利益相关者和董事会成员了解企业的风险状况和评估。此外，CRO可以在合并或收购期间代表公司进行尽职调查和风险评估。例如，CRO可以检查潜在收购目标周围的风险，并评估其风险管理框架和流程是否可靠。
CRPA	controlled reception patterned antenna	控制接收模式天线
受控接收模式天线（CRPA）有4个和8个天线阵列选项，可在所有卫星星座频率下工作，这使得它们适用于我们的所有抗干扰GNSS系统系列。它们可以为所有类型的平台（导弹、弹药、空中/海上/地面平台等）设计共形孔径，因此它们可以在保留区域无缝地适合任何形状。它们完全符合军用标准，如MIL-STD-810G，不同的天线罩选项可用于夸大的环境条件。
CRR	Cyber Resilience Review	网络弹性审查
网络弹性审查（CRR）是一种轻量级评估方法，由美国国土安全部（DHS）创建，目的是评估关键基础设施所有者和运营商的网络安全和服务连续性实践。然而，私营部门组织和外国政府机构利用相同的CRR来评估十个领域的企业计划和实践，包括风险管理、事件管理、服务连续性等。 CRR评估旨在确定组织如何将其网络安全管理活动与其关键服务的性能或生产相协调。评估由299个问题组成，通常在一个12-16小时的研讨会上进行，由合格的主持人主持，持续两天。我们的主持人从组织的网络安全、运营、物理安全和业务连续性人员那里获得答案。在整个评估研讨会期间，您所在组织的团队成员将共同记录评估工具包（免费提供）的答案，然后使用该工具包生成完整的176页分析和报告。在下面的“评估方法”中了解有关评估主题和结构的更多信息。 CRR是一种免费、自愿、非技术性评估，用于评估组织的运营弹性和网络安全实践。CRR可作为自我评估或DHS网络安全专业人员协助的现场评估进行。CRR评估十个领域的企业计划和实践，包括风险管理、事件管理、服务连续性等。该评估旨在衡量现有的组织弹性，并根据公认的最佳做法提供差距分析以改进。
CRS	Collaborative Robotics System	协作机器人系统
	协作机器人系统是一种新的机器人技术，它允许机器人和人类操作员以以前不可能的方式协同工作。然而，随着这种新功能的出现，必须对每种应用进行评估的新危害和风险。本文将讨论协作机器人的性质以及它们目前在工业中的应用；协作机器人应用安全的自愿行业共识标准；以及评估和减轻与协作机器人应用相关的新危害的最佳实践。从历史上看，工人通过使用防护措施与机器人系统保持物理隔离，从而在工业机器人系统周围保持安全。这些防护措施可能是物理屏障（围栏）或基于传感器的系统（例如光幕、安全激光扫描仪），如果工人越过划定所谓“防护空间”的给定边界，则会导致设备保护性停止。“工业机器人系统设计和实施的安全要求在自愿性行业共识标准ANSI/RIA R15.06-2012（“R15.06”）中有规定。协作机器人技术代表了一种范式的转变，它与传统方法不同，即通过保持工人与工业机器人之间的物理隔离来保护工人的安全。通过适当实施协作机器人系统，可以在不使用围栏或光幕等防护措施的情况下确保工人的安全。技术报告（TR）RIA TR R15.606-2016（“TR 606”）中定义了协作机器人系统的安全要求，该报告补充了R15.06。但是，必须认识到风险评估仍然是协作和非协作工业机器人系统安全的关键工具。进行全面的基于任务的风险评估将确定是否需要保障措施，即使是使用协作机器人系统，如果需要，哪些保障措施对于解决已识别的风险是适当和有效的。对工业机器人系统进行基于任务的风险评估的一种方法记录在技术报告RIA TR R15.306-2016（“TR 306”）中。
	Central Reservation System	中央预定系统
	中央预订系统（CRS）是酒店功能的核心技术。这是一个计算机化系统，包含酒店的可用性、价格和库存（ARI）数据，并帮助管理在线和离线预订。在我们下面讨论的渠道经理的帮助下，它将酒店信息分发给各种销售渠道，如GDS、OTA、独立旅行社和自己的网站，同步预订和处理交易。由于众多流程的自动化，实施CRS可提高整体效率，即通过所有分销渠道立即更新酒店的ARI或发送确认电子邮件。显然，这加快了性能，减少了手动操作导致的错误，并降低了人力成本。此外，CRS预订功能为客户提供了一种轻松的方式来管理自己的预订，从而提高了他们的满意度和忠诚度。另一个好处是可以更好地了解预订活动和其他相关数据，从而进行更全面的规划、预测和营销。
CRSRA	Commercial Remote Sensing Regulatory Affairs	商业遥感监管事务
NOAA商业遥感监管事务（CRSRA）位于NOAA卫星和信息服务（NESDIS）内。CRSRA包括商业遥感许可活动以及商业遥感合规和监测活动。CRSRA还负责NOAA商业遥感咨询委员会（ACCRES）的委员会管理。《国家和商业空间计划法案》（NCSPA或法案）、51 U.S.C.§60101及以下修订内容（法案）规定，受美国管辖或控制的任何人不得在无许可证的情况下操作任何私人遥感空间系统，并授权商务部长许可私营部门各方操作私人遥感空间系统。根据法律，部长只有在书面确定申请人（被许可人）将遵守本法案的要求、根据本法案颁布的任何法规以及美国的任何适用国际义务和国家安全问题后，才能授予许可证。使命规范受美国管辖或控制的私人地球遥感空间系统的运行，同时维护基本的国家安全利益、外交政策和国际义务。范围在保护国家安全、外交政策和国际义务的同时，平衡私人地球遥感空间系统的商业可行性和健全的监管做法和政策。
CRTM	Core Root of Trust for Measurement	测量信任的核心根
在引导过程中在主处理器上执行的第一段BIOS代码。在具有可信平台模块的系统上，CRTM被隐式地信任以引导构建测量链的过程，以便随后对计算机系统上执行的其他固件和软件进行认证。信任传递 (Transitive Trust) 与可信边界 (Trust Boundary) 在可信计算体系中，建立可信需要先拥有可信根(Roots of Trust)，然后建立一条可信链(Chain of Trust)，再将可信传递到系统的各个模块，之后就能建立整个系统的可信。信任源是一个必须能够被信任的组件。在一个可信平台中有三个可信根：可信度量根、可信存储根(root of trust for storage ，RTS) 和可信报告根(root of trust for reporting，RTR) 。 RTM被用来完成完整性度量，通常使用可信度量根的核心(core root of trust for measurement ，CRTM) 所控制的计算引擎。CRTM是平台执行RTM 时的执行代码，一般存在BIOS中。RTM 同时也是信任传递的原点。 RTS是维护完整性摘要的值和摘要序列的引擎，一般由对存储加密的引擎和加密密钥组成。 RTR是一个计算引擎，能够可靠地报告RTS持有的数据，这个可靠性一般由签名来保证。这三个根都是可信、功能正确而且不需要外界维护的。这些可信根存在于TPM和BIOS中，可以由专家的评估来确定是否符合可信的标准。一般，在平台建立之后，我们认为TPM和BIOS是绝对可信的。构造模块可信平台构造模块(Trusted Building Blocks，TBB) 是信任源的一部分，包括RTM和TPM初始化的信息和功能(复位等)。可信构建模块TBB和信任根的组合形成了一个基本的可信边界，可用来对PC机的最小配置进行完整性的测量、存储和报告。在运行系统中的任何硬件和软件模块之前，必须建立对这些模块代码的信任，这种信任是通过在执行控制转移之前对代码进行度量来确认的。在确认可信后，将建立新的一个可信边界，隔离所有可信和不可信的模块。即使确定模块不可信，也应该继续执行这个模块，但是需要保存真实的平台配置状态值。建立过程 BIOS Boot Block 为完整性度量信任根，TPM 芯片为完整性报告信任根。从平台加电开始，BIOS Boot Block会度量BIOS的完整性值并将该值存储在安全芯片上，同时在自己可写的那块内存中记日志;接着BIOS度量Hardware和ROMS，将度量得到的完整性值存在安全芯片中，在内存中记日志;接着OS Loader度量OS，OS度量应用和新的OS组件。当操作系统启动后，由用户决定是否继续信任这个系统平台。这样一个信任链的建立过程保证了系统平台的可信性。完整性值通常是一个哈希值，通常采用的哈希算法是SHA1 。证书密钥的使用和生成都离不开证书。TCG定义了五类证书，每类都被用于为特定操作提供必要的信息。证书的种类包括： 1) 签署证书(Endorsement Credential) ：由生成 EK 的人发表，包含TPM制造者名、TPM 型号、TPM版本号和EK公钥。由于是鉴别TPM身份的唯一证据，所以也是秘密和敏感的，除了生成AIK ，其它时候都不应该使用它。 2) 一致性证书(Conformance Credential)：它指出了评估者认可TPM的设计和实现符合评估准则。它由独立的可信机构发布。包含评估者名、平台制造者名、平台型号、平台版本号等。 3) 平台证书(Platform Credential)：它由平台制造者发行，确认平台制造者和描述平台属性。 4) 确认证书(Validation Credential)：由第三方发的对系统中的某个硬件或软件证书。如微软给某显卡的驱动证书。 5) 身份认证证书(I AIK Credential)：AIK 证书被用来鉴定对PCR值进行签名的AIK私钥。AIK证书由一个可信的、能验证各种证书和保护客户端的隐私的服务发表，比如privacy CA 。通过发表AIK证书，签名者证明提供TPM信息的TPM的真实性。密钥在建立了可信以后，并不是就可以放心把所有权力下放了，还需要证明身份，通过授权和委托来管理信息资产。在这些机制里面，最重要的就是密钥与证书。TCG定义了7种密钥类型。每种类型都附加了一些约束条件以限制其应用。TCG的密钥可以粗略的分类为签名密钥和存储密钥。更进一步的分类有：平台、身份认证、绑定、普通和继承密钥。对称密钥被单独分类为验证密钥。非对称密钥大多要求 2048 位的RSA密钥。在整个密钥体系中，每个密钥在开始创建的时候都指定了固定的密钥属性。密钥按照属性不同分为：可移动密钥 (Migratable Key) 、不可移动密钥 (Non- Migratable) 。可移动存储密钥并不局限于某个特定平台，可以由平台用户在平台之间互换而不影响信息交互。不可移动密钥则永久与某个指定平台关联，任何此类密钥泄漏到其它平台都将导致平台身份被假冒。不可移动密钥能够用来加密保护可移动密钥，反之则不行。 7 种密钥类型如下： 1) 签名密钥(Signing Key)：非对称密钥，用于对应用数据和信息签名。 2) 存储密钥(SK-Storage Key)：对称密钥，用于对数据或其他密钥进行加密。存储根密钥 (SRK-Storage Root Key) 是存储密钥的一个特例。 3) 平台身份认证密钥(AIK-Attestation Identity Key)：专用于对TPM产生的数据(如 TPM 功能、PCR 寄存器的值等)进行签名的不可迁移的密钥。 4) 签署密钥(EK-Endorsement Key)：平台的不可迁移的解密密钥。在确立平台所有者时，用于解密所有者的授权数据和与产生 AIK 相关的数据。签署密钥从不用作数据加密和签名。 5) 绑定密钥(Binding Key)：用于加密小规模数据(如对称密钥)，这些数据将在另一个TPM平台上进行解密。 6) 继承密钥(Legacy Key)：在 TPM 外部生成，在用于签名和加密的时候输入到TPM中，继承密钥是可以迁移的。 7) 鉴别密钥(Authentication Key)：用于保护引用TPM完成的传输会话的对称密钥。 8) SRK作为一级密钥(也称主密钥) ，存储在安全区域，用它对二级密钥信息加密生成二级密钥。依次类推，父节点加密保护子节点，构成整个分层密钥树结构。在密钥分层树中，叶子节点都是各种数据加密密钥和实现数据签名密钥。这些动作都应该是连贯的密箱操作。相比之下，纯软件的加密系统难以做到密箱操作。但如果把主密钥、加密算法等关键数据、程序固化在硬件设备TPM中，就能解决密箱操作的难题。
CRTV	Core Root of Trust for Verification	验证信任的核心根
引导过程中在主处理器上执行的第一段BIOS代码。在具有可信平台模块的系统上，CRTM隐含地被信任引导构建测量链的过程，以便随后对计算机系统上执行的其他固件和软件进行认证。
CS3STHLM	Stockholm International Summit on Cyber Security in SCADA and ICS	斯德哥尔摩SCADA和ICS网络安全国际峰会
CS3STHLM——关于SCADA和工业控制系统网络安全的斯德哥尔摩国际峰会——是一次年度峰会，聚集了关键流程和行业中最重要的利益相关者。CS3STHLM自2014年成立以来，已迅速成为北欧首屈一指的ICS安全峰会！
CSA	Cloud Security Alliance	云安全联盟
	云安全联盟（CSA）是世界领先的组织，致力于定义和提高最佳实践意识，以帮助确保安全的云计算环境。CSA利用行业从业者、协会、政府及其企业和个人成员的主题专业知识，提供云安全特定的研究、教育、认证、活动和产品。CSA的活动、知识和广泛的网络使受云影响的整个社区受益-从供应商和客户，到政府、企业家和保险业-并提供了一个论坛，通过该论坛，各方可以共同创建和维护可信的云生态系统。 CSA运营着最受欢迎的云安全提供商认证计划，即CSA安全、信任和保证注册（STAR），这是一个由自我评估、第三方审计和持续监控组成的三级提供商保证计划。CSA还管理着CSA全球咨询计划，这是一个由CSA开发的专业计划，它允许云用户与可信的安全专业人员和组织网络合作，这些组织根据CSA最佳实践提供合格的专业服务。 2009年，CSA发布了《云计算关键关注领域安全指南》，为希望安全可靠地采用云范式的管理者提供了一个实用、可行的路线图。第二年，CSA推出了业界首个云安全用户认证，即云安全知识证书（CCSK），这是云计算安全专业能力的基准，以及云控制矩阵（CCM），它是世界上唯一的云特定安全控制元框架，映射到领先的标准、最佳实践和法规。作为后续行动，2015年，CSA与（ISC）²一起首次获得了认证云安全专家（CCSP）认证，代表了保护云安全所需的高级技能。 CSA的综合研究计划在全球范围内与行业、高等教育和政府合作。CSA研究以供应商中立性、敏捷性和结果完整性而自豪。CSA在除南极洲以外的所有大陆都有存在。通过自己的办公室、合作伙伴、成员组织和分会，CSA专家总是在您身边。CSA在世界各地和在线举办了数十场高质量的教育活动。
	Core Specification Addendum	核心规范附录
	服务规范双方已在服务规范中就本服务协议项下提供的服务的范围和规范达成一致。 DAF规范开发商应在初始同步日期前至少一百八十（180）个日历日向连接传输业主和NYISO提交DAF的初始规范，包括系统保护设施；以及在初始同步日期前至少九十（90）个日历日进行审查和评论的最终规范。连接传输业主和NYISO应审查此类规范，以确保DAF符合连接传输业主与NYISO的技术规范、操作控制和安全要求，并在开发商提交后三十（30）个日历日内对此类规范提出意见。
CSA5	Core Specification Addendum 5	核心规范附录5
核心规范附录5。本附录提供了Bluetooth®核心规范的可选更新。当附录适用于允许的核心规范时，规范的以下部分应替换、添加或附加修订版本：第1卷，D部分：规范版本的混合。
C-SCRM	Cybersecurity Supply Chain Risk Management	网络供应链风险管理
网络供应链风险管理（C-SCRM）是确保供应链安全的持续过程，特别是与信息和通信技术（ICT）和运营技术（OT）系统相关的过程。它包括识别、评估和降低与硬件和软件相关的风险。
CSD	Computer Security Division	计算机安全部
计算机安全部（CSD）制定网络安全标准、指南、测试和指标，以保护联邦信息系统。CSD帮助开发创新的安全技术，增强国家应对当前和未来计算机和信息安全挑战的能力。CSD的研究重点是密码学、自动化、身份和访问管理、物联网和公共安全网络。该部门设有一个计算机安全资源中心（CSRC），提供NIST网络安全和信息安全相关项目、出版物、新闻和活动的访问。CSRC会支持美国和国际政府、行业和学术界的利益相关者。
CSET	Cyber Security Evaluation Tool	网络安全评估工具
网络安全评估工具（CSET®）是一个独立的桌面应用程序，通过评估运营技术和信息技术的系统过程指导资产所有者和运营商。2021年6月30日CSET更新，包括一个新模块：勒索软件就绪评估（RRA）。RRA是一种基于分层实践的自我评估，旨在帮助组织更好地评估他们在防范勒索事件和从勒索事件中恢复的能力。完成评估后，组织将收到报告，以总结和详细的方式呈现评估结果。该组织将能够操纵和过滤内容，以便以不同的粒度分析发现。
CSF	Cybersecurity Framework	网络安全框架
网络安全框架（CSF）是国家标准与技术研究所（NIST）的一套网络安全最佳实践和建议。CSF使您更容易理解网络风险并提高防御能力。世界各地的组织使用它来做出更好的基于风险的投资决策。 NIST网络安全框架旨在成为一份活的文件，随着时间的推移不断完善和发展。这些更新有助于框架跟上技术和威胁趋势，整合经验教训，并将最佳做法转化为共同做法。NIST最初于2014年制定了该框架，并于2018年4月用CSF 1.1对其进行了更新。根据利益相关者的反馈，为了反映不断变化的网络安全形势，并帮助组织更容易、更有效地管理网络安全风险，NIST正计划对该框架进行新的、更重要的更新：CSF 2.0。
CSIAC	Cyber Security & Information Systems Information Analysis Center	网络安全与信息系统信息分析中心
网络安全和信息系统信息分析中心（CSIAC）是美国国防部信息分析中心企业的一个组成部分，为国防部的国防企业和联邦政府用户及其支持的学术界和行业合作伙伴提供服务。 CSIAC的任务是为国防部提供信息保障和网络安全的中心接入点，以包括系统漏洞、研发、模型和分析中的新兴技术，以支持针对信息战攻击的有效防御的开发和实施。
CSK	Code Signing Key	代码签名密钥
PFR FPGA RoT利用密钥层次结构来验证驻留在SPI闪存中的数据结构。密钥层次结构基于存储在FPGA RoT的NVRAM中的供应根密钥（RK）和代码签名密钥（CSK）结构，该结构由RK背书，存储在SPI闪存中，并用于较低级别数据结构的签名。PFR FPGA使用该CSK验证平台固件清单的数字签名，该清单描述了平台固件的预期测量值。PFR FPGA RoT在允许系统启动之前验证这些测量值。当需要恢复时，无论是因为测量值与预期值不匹配，还是因为在系统启动期间检测到挂起，PFR FPGA RoT都会使用恢复映像来恢复固件。恢复图像和任何更新图像以压缩胶囊格式存储，并使用数字签名进行验证。代码签名证书（Code Signing Certificate）是对可执行文件或脚本，软件代码和内容进行数字签名来确认软件作者及保证软件签名后未被修改或者损坏的措施，此行为用来验证开发者身份的真实性和保护代码的完整性。对代码进行数字签名可以对软件开发者及软件来源进行标识，确认软件，代码不被非法篡改其代码或植入病毒，保护用户不被病毒侵害，下载时减少系统的安全警告。如果您购买了SSL证书，那么它就可以保护您的品牌形象增加品牌信任度，还可以保护您的客户防止下载有害文件，避免被恶意代码攻击，以及软件开发者的安全。代码签名证书由签名证书公钥和签名证书私钥证书两部分组成的。签名证书私钥用于代码的签名，签名证书公钥用于签名证书私钥签名的验证及证书持有者的身份识别。
CSMS	Cybersecurity for Smart Manufacturing Systems	智能制造系统的网络安全
CSMS的目的是预防性地识别和消除产品中的关键缺陷。在整个产品生命周期内，必须确保和维护网络安全。这包括根据网络安全规范开发产品设计。黑客入侵点的数量必须从一开始就保持尽可能低。这是减少攻击区域，从而降低遭受网络攻击的风险的唯一方法。因此，每家公司都必须以有效网络安全的最佳实践为导向。这些最佳实践主要涉及产品开发、生产、公司组织和职责分配中应遵循的原则。
CSO	Chief Security Officer	首席安全官
首席安全官（CSO）是指负责公司物理和数字安全的公司高管。这意味着公司的CSO负责保护其人员、有形资产和信息。因此，CSO通常负责在线安全协议、风险管理和应对安全事件。在信息技术时代，由于黑客、勒索软件和数据盗窃的危险，这一职位的重要性日益增加。首席安全官（CSO）是负责公司数据、人员和资产安全的执行官。 CSO负责通过制定稳健的安全协议和危机管理来防止数据泄露、网络钓鱼和恶意软件。这些高管还可能负责物理安全，如防止入侵者和保护物理资产。一些科技公司可能会有一名首席信息安全官，而不是CSO，这反映了他们对网络安全的关注。由于民间社会组织技能的专业性，他们的需求越来越大。首席安全官是公司高层管理团队的成员。在这一角色中，CSO负责制定和监督用于缓解或减少与人员或员工、任何资产和其他财产相关的合规、运营、战略和财务安全风险战略的政策和计划。该术语主要用于描述公司中负责IT安全的人员。在某些情况下，该定义仍然适用。但近年来，CSO的作用已经扩大到包括公司整体安全，如公司的人员和实物资产以及数字和实物信息。持有该头衔的人有时也被称为首席信息安全官或CISO。在某些情况下，此人也被称为公司安全副总裁或主管，将所有形式的公司安全整合在一个部门之下。 CSO负责制定密码安全协议，保护公司数据，并在发生潜在违规行为后作出响应。
CSP	Cloud Service Provider	云服务提供商
	云服务提供商是建立公共云、管理私有云或提供按需云计算组件（也称为云计算服务）的公司，如基础设施即服务（IaaS）、平台即服务（PaaS）和软件即服务（SaaS）。与内部IT相比，云服务可以降低业务流程成本。这些云通常不是作为独立的基础设施解决方案部署，而是作为混合云的一部分当硬件和软件都在本地时，您和您的团队可以根据需要管理、更新和更换每个组件。云服务提供商允许您将基础设施的一个、多个或所有部分的管理分配给第三方。您不必购买和维护自己的基础设施，而是将其作为服务进行访问。使用云服务提供商是访问计算服务的一种有用方式，否则您必须自己提供这些服务，例如：基础设施：每个计算环境的基础。该基础设施可以包括网络、数据库服务、数据管理、数据存储（在本文中称为云存储）、服务器（云是无服务器计算的基础）和虚拟化。平台：创建和部署应用程序所需的工具。这些平台可以包括Linux®、中间件和运行时环境等操作系统。软件：即用型应用程序。该软件可以是由独立服务提供商提供的定制或标准应用程序。选择云策略企业的最佳云取决于您的业务需求、业务规模、当前的计算平台和IT基础设施以及未来的目标。在现代IT组织中，云服务提供商几乎总是在云实施计划中发挥作用。这可能包括承担管理基础设施、软件、服务或其组合的角色。首先，需要确定您需要从云中获得哪些服务来支持您的企业战略。从那里，您可以评估特定的云服务提供商是否相应地一致。在此过程中需要考虑的一个重要因素是，您将能够在企业内处理哪些云技术，哪些应委托给云服务提供商？为您管理基础设施、平台或软件可以解放您的业务，为客户服务，提高整体运营效率，并改进或扩展您的开发运营（DevOps）战略。许多公共云服务提供商都有一套标准支持合同，包括验证活动软件订阅、解决问题、维护安全性和部署修补程序。托管云服务提供商的支持可以简化为简单的云管理，也可以满足整个it部门的需求。
	critical security parameter	关键安全参数
	关键安全参数（CSP）是使用加密模块处理加密功能的数据。数据包括密码、安全码、加密密钥、个人识别码（PIN）和任何其他未受保护的安全信息。既定的信息安全规则保护CSP，这些CSP只能从授权的计算机系统访问。未经授权的用户获得的CSP构成安全威胁。 Techopedia解释关键安全参数（CSP）联邦信息处理标准（FIPS）140系列是计算机安全规范和密码模块要求。2001年5月，最新版本发布为FIPS 140-2。 FIPS 140-2由以下四个安全级别组成：级别1：具有有限的加密模块安全要求，但没有物理安全级别2：指示物理安全性，例如，密码密钥和CSP的防篡改措施和纯文本证据级别3：添加物理安全性，以防止CSP访问加密模块，以及打开模块后CSP归零级别4：提供最强大的加密模块安全性
CSR	Certificate Signing Request	证书签名请求文件
CSR 是 Certificate Signing Request 的英文缩写，即证书签名请求文件，是证书申请者在申请数字证书时由 CSP (加密服务提供者) 在生成私钥的同时也生成证书请求文件，证书申请者只要把 CSR 文件提交给证书颁发机构后，证书颁发机构使用其根证书私钥签名就生成了证书公钥文件，也就是颁发给用户的证书。
CSRC	Computer Security Resource Center	计算机安全资源中心
自20世纪90年代中期以来，CSRC为读者提供了有关计算机、网络、信息安全和隐私的NIST资源。它包括NIST信息技术实验室（ITL）两个安全部门的出版物、项目和计划、新闻和事件： CSD进行必要的研究、开发和推广，以提供保护美国信息和信息系统的标准和指南、机制、工具、指标和实践。它包括以下组：密码技术安全系统和应用程序安全组件和机制安全工程和风险管理安全测试、验证和测量应用网络安全部（ACD）员工名单和简介 ACD通过推广和有效应用美国采用网络安全能力所需的标准和最佳实践来实现实际的网络安全和隐私。它包括以下组：网络安全和隐私应用国家网络安全卓越中心（NCCoE）国家网络安全教育倡议（NICE）
CSRIC	Communications Security, Reliability, and Interoperability Council	通信安全、可靠性和互操作性委员会
通信安全、可靠性和互操作性委员会（CSRIC）的目的是向FCC提供有关FCC如何帮助确保通信系统的安全、可靠性及互操作性的建议。CSRIC的建议侧重于一系列公共安全和国土安全相关的通信事项，包括：（1）通信系统和基础设施的可靠性；（2） 911、增强型911（E911）和下一代911（NG911）；（3）紧急警报；（4）国家安全/应急准备（NS/EP）通信，包括执法人员获取通信。 CSRIC的建议涉及预防和补救有害的网络安全事件、制定最佳做法以提高整体通信可靠性、通信服务的可用性和性能以及自然灾害、恐怖袭击、，网络安全攻击或其他导致通信基础设施异常紧张的事件，在广泛或重大中断的情况下快速恢复通信服务，以及通信提供商可以采取的措施来帮助保护最终用户和服务器。
CSRK	Connection Signature Resolving Key	连接签名解析密钥
一个128位密钥，用于在接收设备上签名和验证签名。
CSRM	Cybersecurity risk management	网络安全风险管理
网络安全风险管理是确定威胁优先级的战略方法。组织实施网络安全风险管理，以确保及时处理最关键的威胁。这种方法有助于根据每种威胁造成的潜在影响来识别、分析、评估和解决威胁。风险管理策略承认，组织无法完全消除所有系统漏洞或阻止所有网络攻击。建立网络安全风险管理计划有助于组织首先关注最关键的缺陷、威胁趋势和攻击。广义地说，网络安全风险管理过程包括四个阶段：识别风险–评估组织环境，以识别可能影响业务运营的当前或潜在风险评估风险–分析已识别的风险，以了解其对组织的影响可能性以及可能产生的影响控制风险–定义可帮助组织减轻风险的方法、程序、技术或其他措施。审查控制措施——持续评估控制措施在降低风险方面的有效性，并根据需要增加或调整控制措施。
CSRR	Cybersecurity risk register	网络安全风险注册
风险登记在许多网络安全专业人员中是一种广泛的实用工具，允许从业者在一个地方跟踪和衡量风险。这种类型的报告可以快速帮助您的团队与重要的计划保持一致，并节省宝贵的资源、时间和人力。通过利用合规性、范围和效率，任何项目团队都可以利用风险登记册来提高网络安全。网络安全领导者风险登记示例使用在线找到的通用项目计划风险登记模板创建登记簿似乎很容易，但正确管理风险、识别潜在影响和风险评估分析可能很困难。决定进入风险登记簿的内容取决于组织的网络安全态势、潜在风险、残余风险和已识别风险。通常，安全团队使用风险登记簿来创建潜在风险事件的清单，其中包括事件的可能性、影响和描述，以跟踪风险。该清单应附有一份单独的记录，以记录可能导致风险登记册中风险的控制缺陷。与您公司的利益相关者、项目经理和其他人员进行协调对于准确衡量和审查登记簿中的风险日志至关重要。但是，如果没有风险管理计划来持续监控和跟踪您的合规计划，那么仅使用风险登记册并不能证明合规性。风险登记册应包括哪些内容？如下所示，您的风险登记簿应包括：包含在风险登记簿中风险描述描述衡量的风险及其对组织的威胁。原因导致风险发生的事件或触发器。结果或影响如果风险发生，您的组织将面临的影响。可能性风险发生在贵公司的可能性有多大。结果如果发生这种情况，风险会有多大危害。风险级别风险的优先级基于风险矩阵。成本尽可能降低风险或减少其影响的费用。缓解措施安全团队为缓解风险而采取的措施。
CSTL	Cryptographic and Security Testing Laboratory	密码与安全测试实验室
密码和安全测试（CST）实验室认证计划（LAP）最初名为密码模块测试（CMT），由NVLAP建立，以认证根据密码模块验证计划（CMVP）执行密码模块验证一致性测试的实验室。
CSV	Comma-Separated Values	字符分隔值
CSV文件是包含一些数据的文本文件。在通常情况下，CSV文件用于将数据从一个应用程序传输到另一个应用。作为解释，CSV文件以纯文本形式存储数据，包括数字和文本。纯文本压缩信息并允许文本格式。通常，所有字段都用逗号分隔，而所有记录都用一行复杂的字符分隔。在Excel工作表中，所有带有逗号的字段都嵌入双引号内，双引号通常被称为文本限定符，即一个带有绿色、蓝色和黄色的单元格将被捕获为“绿色、蓝色、黄色”。
CTA	Consumer Technology Association	消费者技术协会
CTA，消费技术协会，是消费电子行业的标准和贸易组织。该公司总部位于弗吉尼亚州阿灵顿，拥有2200家公司。CTA倡导塑造消费科技行业未来的企业家、技术专家和创新者。CTA提供了一个平台，将技术领导者团结在一起，进行联系和协作，并积极支持推动消费者技术进步的成员。 CTA的标准可以单独使用，也可以直接通过ANSI网站，也可以作为标准订阅的一部分。如果您或您的组织对轻松、管理、在线访问可共享的标准感兴趣，您可能需要标准订阅-请联系我们：StandardsSubscriptions@ansi.org或1-212-642-4980或请求建议书价格。
CTI	Cyber Threat Intelligence	网络威胁情报
网络威胁情报（CTI）由与网络威胁和威胁行为者相关的信息组成。它整合了各种来源，以帮助识别和减轻网络空间中发生的有害事件和潜在攻击。 CTI通常以威胁情报平台或服务的形式提供，尽管一些组织有内部CTI操作。CTI是高级威胁保护策略的核心部分，帮助组织抵御复杂的、有组织的网络攻击。 CTI将网络情报来源结合为有意义的见解，以支持安全行动。以下是常见的网络威胁情报来源：开源智能人类智力社交媒体智能技术情报合法获取的数据设备日志文件来自互联网流量的情报来自暗网和深网的数据网络威胁情报的需求使用安全工具可以自动识别和减轻一些威胁。更严重或更逃避的威胁由人类安全和IT团队处理，他们需要对威胁进行分类，了解其操作方式，并学习如何预防。 CTI支持这两种用例： CTI为网络安全工具提供数据，帮助他们了解需要关注的威胁以及可用于缓解威胁的战术、技术和程序（TTP）。 CTI提供的知识可以帮助安全分析师和IT运营团队制定安全计划，并迅速采取行动保护网络免受严重威胁。对网络威胁情报的投资使企业能够访问威胁数据库，该数据库包含各种威胁的技术信息。通过安全团队或自动化系统提供对这些知识的访问，可以大大提高组织的安全态势。CTI是为分析师和安全系统提供可操作见解的作战情报。有效的CTI系统明确区分威胁数据收集和威胁情报：网络威胁数据收集提供了原始信息，在对其进行分析并将其打包为安全调查的有用格式之前，这些信息最初是无用的。网络威胁情报建立在数据收集的基础上，提供可用于检测、阻止和减轻威胁的数据。它利用分析从原始安全数据中获取作战情报，如可能迫在眉睫的威胁类型、网络中的漏洞、威胁行为者的身份以及每种威胁的根本原因。威胁情报类型网络威胁情报分析包括研究参与者及其意图、能力、动机、目标获取途径及其首选的战术、技术和程序（TTP）。它有助于做出明智的作战和战术评估。战略情报战略情报包括评估不同的信息以创建综合视图。目标是就长期或广泛的问题向政策和决策者提供信息，并及时发出威胁警告。战略CTI提供了恶意网络威胁（如行为者、TTP和工具）的能力和意图的广泛视角。这一过程包括确定趋势、新出现的威胁和风险以及模式。作战情报作战情报包括评估与特定事件、活动和调查相关的潜在事件。作战CTI提供高度专业化的情报，以支持和指导对特定事件的反应，以法医报告或其他形式提供。这种类型的情报通常与活动、工具和恶意软件有关。技术情报技术情报主要集中于识别表明正在发生攻击的迹象，如武器化、侦察和各种投送技术，如鱼叉钓鱼和诱饵。它在阻止社会工程攻击方面特别有用。技术情报可与作战威胁情报分组。然而，当演员更新战术时，技术智能会随着演员的节奏快速调整。战术情报战术情报包括评估实时事件、活动和调查，以支持日常行动和事件。例如，战术CTI可以告知决策者制定妥协指标（IoC）和签名。它通常采用传统的情报分析技术。组织实施CTI框架以增强以下能力。网络风险管理 IT和安全团队使用战术威胁情报来确定应用于组织的安全控制。CTI数据帮助他们确定最相关威胁的优先级，并了解攻击者如何利用系统漏洞。他们还使用作战威胁情报来评估和调整控制。安全运营中心（SOC） SOC通常负责处理网络威胁情报，并将威胁上下文添加到来自监控工具和日志的数据中。SOC团队通常使用SIEM等工具来确定安全数据的优先级，并帮助分析大型数据集。SOC操作员利用威胁情报来识别可疑活动，并向安全团队通报优先威胁。漏洞管理组织通常有许多漏洞，因此很难识别和修补高优先级漏洞。针对漏洞的威胁情报有助于漏洞管理团队确定影响风险和威胁的可能性。事件调查和响应安全分析师依靠CIT调查和应对事件。它允许他们主动寻找威胁，预测攻击者的意图和技术。事件响应团队可以使用威胁情报为威胁做好准备，并在真正的破坏之前练习响应程序。这些信息也有助于在泄密后进行法医调查。安全合规性 CTI允许组织更好地遵守GDPR等数据安全法规。合规经理可以实施基于风险的安全策略，其中包含法规要求。除了帮助提前识别潜在威胁外，该情报还为审计和事故后评估提供了有用的记录。网络威胁情报挑战成功的网络安全超越了防火墙和防病毒软件。持续的检测和响应必须与最新的实时威胁情报相结合。这通常超出了内部IT部门和安全人员的范围，需要雇佣外部分析师或外包响应团队。企业级数据收集工具的实施和维护成本高昂。内部数据收集和分析通常部署安全信息和事件管理（SIEM）系统，以收集和汇总组织所有领域的数据。虽然这种集中是威胁数据分析的关键，但非专家很难建立自己的威胁情报解决方案。因此，大多数组织选择整合威胁情报平台，而不是基于SIEM数据或独立来源的威胁情报源构建自己的解决方案。
CTIA	Cellular Telecommunications and Internet Association	蜂窝通信和互联网协会
CTIA代表美国无线通信行业。从运营商和设备制造商到移动应用程序开发商和内容创作者，我们汇集了一批充满活力的公司，使消费者能够过上21世纪互联生活。作为美国无线行业的声音，CTIA：倡导联邦、州和地方各级的立法和监管政策，以促进美国无线产业的持续创新、投资和日益增长的经济影响。CTIA在一系列问题上都很活跃，包括频谱政策、无线基础设施和物联网等。召集行业应对我们最困难的挑战，并协调自愿的最佳实践和倡议。CTIA与成员合作，制定移动设备的测试计划和认证流程，与成员和其他行业领导者协调，确保移动网络和设备的安全，并领导行业倡议，以增强可访问性，提高9-1-1定位精度，防止电话被盗。通过旨在提高政策制定者和公众意识的众多活动，以及从网络安全到5G等主题的行业领先活动，促进我们的会员。
CTL	Communication Technology Laboratory	通信技术实验室
美国国家标准与技术研究院通信技术实验室（NIST CTL）成立于2014年，旨在将NIST的众多无线通信工作整合为一个统一的研发组织。先进的通信技术使消费者、制造商、政府和其他人在消费信息、交易业务、提供和使用基本服务以及购物方面发生了巨大变化。  行业分析师预计，到2022年，全球将有290亿台联网设备，美国无线服务提供商计划投资2750亿美元用于基础设施建设，这将增加就业机会，推动经济发展。  NIST的前身国家标准局（NBS）早在1911年就开始进行射频测量。我们的无线电科学对二战期间美国飞机、通信和导弹的运行至关重要。1954年，德怀特·D·艾森豪威尔总统将现在被称为NIST博尔德实验室的实验室命名为NBS的中央无线电传播实验室，这是一个国家无线电物理和无线电工程测量、计量和标准制定研究中心。
CTO	Chief Technology Officer	首席技术官
首席技术官（CTO），也称为首席技术官或首席技术专家，是直接处理公司技术和科学问题的高级管理人员。该专业人士在组织中对技术问题具有决策权。因此，这是一个责任重大的职位，不仅需要扎实的技术知识，还需要企业管理知识。
CU	Central Unit	中央单元
控制单元（CU）是计算机中央处理单元（CPU）的一个组件，用于指导处理器的操作。CU通常使用二进制解码器将编码指令转换为时序和控制信号，以指导其他单元（存储器、算术逻辑单元以及输入和输出设备等）的操作。
CUI	Controlled Unclassified Information	受控的非机密信息
受控非保密信息（CUI）是指政府创建或拥有的非保密信息，或实体为政府创建或代表政府拥有的非机密信息，法律、法规或政府政策要求或允许机构使用保护或传播控制进行处理。
CVC	Card Verifiable Certificate	卡验证证书
卡可验证证书（CVC）是设计用于由计算能力有限的设备（如智能卡）处理的数字证书。这是通过使用固定字段的简单类型-长度-值（TLV）编码实现的。固定字段意味着证书中的每个字段都具有固定的或最大的长度，并且每个字段都有明确的顺序。与asn.1相比，这使得解析变得容易。解析需要更多的处理，并且在解析嵌套内容时必须将字段保留在内存中。
CVE	Common Vulnerabilities and Exposures	通用漏洞和风险
常见漏洞和暴露（CVE）是一组安全威胁，包含在概述已知风险的参考系统中。CVE威胁名单由MITRE公司维护，MITRE是一家经营联邦政府资助研发中心的非营利组织。CVE由美国国土安全部国家网络安全司（NCSD）赞助。 CVE将漏洞定义为软件代码中的错误，使攻击者能够直接未经授权访问计算机系统和网络并传播恶意软件。这通常允许攻击者冒充具有对公司资源完全访问权限的系统管理员或超级用户。 CVE将暴露定义为软件代码或配置中的错误，使攻击者能够间接访问系统和网络。这可能使攻击者潜伏在计算机网络中，秘密收集敏感数据、用户凭据和客户信息。
CVSS	Common Vulnerability Scoring System	通用漏洞评分系统
通用漏洞评分系统（CVSS）提供了一种方法来捕获漏洞的主要特征，并生成反映其严重性的数字评分。然后，数字分数可以转化为定性表示（如低、中、高和关键），以帮助组织正确评估其脆弱性管理过程并确定其优先级。 CVSS是世界各地组织使用的已发布标准，SIG的使命是继续改进它。 CVSS目前处于3.1版。左侧的链接指向CVSS 3.1版的规范和相关资源。 CVSS v3.1提供了一个自定进度的在线培训课程。它解释了标准，而不需要假设任何以前的CVSS经验。它基于FIRST的开放式培训平台。 CVSS特别兴趣小组（SIG）目前正在进行个别改进，这些改进将成为CVSS标准下一版本的基础。SIG由来自广泛行业部门的代表组成，从银行和金融到科技和学术界。有兴趣加入SIG或通过CVSS SIG邮件列表观察进展的组织和个人应填写下面的加入申请表。
CWE	Common Weakness Enumeration	常见缺陷枚举
常见弱点枚举（CWE™) 是一个社区开发的具有安全影响的常见软件和硬件弱点类型列表。“弱点”是指软件或硬件实现、代码、设计或架构中的缺陷、故障、错误或其他错误，如果不加以解决，可能导致系统、网络或硬件容易受到攻击。CWE列表和相关分类法是一种语言，可用于识别和描述CWE方面的这些弱点。 CWE针对开发和安全从业者社区，其主要目标是通过教育软件和硬件架构师、设计师、程序员和收购商如何在产品交付前消除最常见的错误，从源头上阻止漏洞。最终，使用CWE有助于防止困扰软件和硬件行业并使企业面临风险的各种安全漏洞。 CWE帮助开发人员和安全从业人员：用通用语言描述和讨论软件和硬件的弱点。检查现有软件和硬件产品中的弱点。评估针对这些弱点的工具覆盖率。利用共同的基线标准进行弱点识别、缓解和预防工作。在部署之前防止软件和硬件漏洞。 https://cwe.mitre.org/about/index.html
CyOTE	Cybersecurity for the Operational Technology Environment	操作技术环境的网络安全
CESER的操作技术环境网络安全（CyOTE™)的倡议是CESER的一项高优先级投资，旨在增强能源部门对OT网络中可能表明恶意网络活动的异常行为的威胁检测。该研究计划由CESER与爱达荷州国家实验室和能源部门合作伙伴共同领导，旨在开发工具和能力，为能源资产所有者和运营商提供及时的警报和可采取行动的信息。随着能源公司对电网进行现代化改造，以提高可靠性和降低成本，OT网络越来越多地与IT网络融合。能源公司目前很少有工具来分析OT系统的恶意活动。这与快速的数字化转型相结合，增加了OT网络对潜在网络攻击的敏感性。这些网络现在是高度复杂的网络攻击者的关键目标，这些攻击者以美国基础设施为目标，使其处于危险之中。这使得CyOTE等改变游戏规则的程序™ 对于主动保护OT系统至关重要，进而保护能源基础设施的生存能力和恢复能力。通过CyOTE™, CESER希望在全国范围内进一步实现安全可靠的能源输送系统。
CyTRICS	Cyber Testing for Resilient Industrial Control Systems	弹性工业控制系统的网络测试
CyTRICS计划包括几个创新组件：优先排序方法。一种确定测试OT组件优先级的方法，包括关键因素，包括操作影响、流行率和国家安全利益。这种方法为测试优化安全影响的组件提供了战略性、透明的基本原理。标准化测试流程。DOE已经开发并完善了一种标准化方法，用于枚举和漏洞测试固件和软件子组件。标准化确保了结果的一致性、可重复性和可比性，以扩大实验室和合作伙伴之间的测试和自动化。标准化报告和存储库。CyTRICS以标准的物料清单格式捕获测试结果，将颗粒状“数字成分”捕获到子组件级别，以快速识别嵌入的高风险组件和子组件。该计划的特点是一个测试结果的中央存储库，用于对系统性风险和漏洞进行全面、部门范围的分析。供应商协议。CyTRICS与该行业的顶级制造商和公用事业公司合作，签署参与协议，以在进行测试之前建立相互合作。标准协议规定了要执行的软件和固件测试类型，及时披露测试期间发现的漏洞，并与受影响的资产所有者、联邦机构和能源部门利益相关者协调披露漏洞信息。 CyTRICS于2018年完成了概念验证测试。利用该测试的结果，该项目于2019年制定了测试操作方法草案、结果报告格式和结果储存库。CyTRIC于2020年秋季完成了项目流程的全面试点测试。 2021，CyTRICS进入初始运营能力，并正在扩大规模。CESER已邀请行业参与者对关键CyTRICS流程进行反馈，包括测试操作、报告格式、高级分析和风险计算以及协调的漏洞披露流程。CESER正在不断完善CyTRICS项目流程，以反映行业最佳实践和不断发展的政策。 CyTRICS网络漏洞测试支持跨多个DOE倡议的供应链安全需求。CESER从许多项目、子部门和机构收集数字组件测试的要求，以纳入CyTRICS测试优先级方法。 CyTRICS利用CESER的能源部门参与论坛确保透明度和与行业合作伙伴的协调。《2020财年国防授权法》第5726节规定的保障能源基础设施执行任务组是能源部门制造商、资产所有者和利益相关者在CyTRICS设计和运营中进行战略和技术参与的主要场所